Polityka prywatności

Data ostatniej aktualizacji: [PLACEHOLDER: data przed publikacją]

Poniżej wyjaśniamy, jakie dane przetwarzamy w związku z korzystaniem z Gearnote, w jakim celu i na jakiej podstawie — prostym językiem, tak jak reszta naszej strony.

1. Administrator danych

Administratorem danych jest Gearnote sp. z o.o., [PLACEHOLDER: NIP, REGON, adres siedziby — uzupełnia założyciel].

Kontakt w sprawach danych osobowych: kontakt@gearnote.pl

[TODO PRAWNIK] Ocena, czy przy obecnej skali wymagane jest wyznaczenie Inspektora Ochrony Danych (IOD) i czy podać jego dane.

2. Czyje dane przetwarzamy

Dane dzielimy na trzy odrębne grupy:

• Użytkownicy aplikacji — właściciele warsztatów i ich pracownicy korzystający z Gearnote.
• Klienci warsztatów — osoby dzwoniące do warsztatów korzystających z Gearnote (osoby trzecie, których rozmowy są nagrywane).
• Odwiedzający stronę — osoby otwierające gearnote.pl.

3. Jakie dane przetwarzamy

Dla użytkowników aplikacji

• Adres e-mail, imię i nazwisko, nazwa warsztatu, branża — podane przy rejestracji.
• Numer telefonu warsztatu (numer Twilio przekierowywany na komórkę użytkownika).
• Dane o korzystaniu z aplikacji (logi techniczne).

Dla klientów warsztatów

• Numer telefonu dzwoniącego (caller ID).
• Treść rozmowy telefonicznej z warsztatem (nagranie audio, transkrypcja tekstowa).
• Dane wynikające z rozmowy: model auta, opisany problem, ustalone terminy.
• Imię i nazwisko, jeśli zostanie podane w rozmowie.

Dla odwiedzających stronę

• Standardowe dane techniczne (adres IP, user agent, czas wizyty) — wyłącznie w logach hostera.
• Brak ciasteczek śledzących, brak narzędzi analitycznych.

4. Podstawa prawna i cele przetwarzania

• Wykonanie umowy (art. 6 ust. 1 lit. b RODO) — świadczenie usługi użytkownikom (prowadzenie konta, udostępnianie aplikacji i numeru).
• Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) — przetwarzanie nagrań i transkrypcji rozmów w celu świadczenia usługi użytkownikowi-warsztatowi oraz bezpieczeństwo systemu.
• Zgoda (art. 6 ust. 1 lit. a RODO) — w przypadku, gdy klient warsztatu po wysłuchaniu komunikatu o nagrywaniu kontynuuje rozmowę.
• Obowiązek prawny (art. 6 ust. 1 lit. c RODO) — tam, gdzie ma zastosowanie (np. obowiązki podatkowe i księgowe).

Warsztat (użytkownik Gearnote) jest administratorem danych swoich klientów. Gearnote przetwarza te dane jako podmiot przetwarzający na podstawie umowy powierzenia, zawieranej z każdym warsztatem.

5. Komunikat o nagrywaniu rozmów

Przed każdą przychodzącą rozmową na numer Gearnote odtwarzany jest automatyczny komunikat informujący o nagrywaniu. Kontynuowanie rozmowy po odsłuchaniu komunikatu jest traktowane jako zgoda na jej przetwarzanie. Klient w każdej chwili może się rozłączyć — wtedy żadne nagranie nie jest przetwarzane (poza technicznym logiem połączenia po stronie operatora telekomunikacyjnego).

6. Podprocesorzy i transfer danych

Do świadczenia usługi korzystamy z następujących podprocesorów:

• Twilio Inc. (USA) — operator telekomunikacyjny, nagrywanie rozmów. Transfer poza EOG na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską.
• Deepgram Inc. (USA) — transkrypcja audio na tekst. Transfer poza EOG na podstawie SCC.
• Anthropic PBC (USA) — analiza tekstu transkrypcji w celu ekstrakcji ustrukturyzowanych danych (model auta, problem, terminy). Transfer poza EOG na podstawie SCC.
• [PLACEHOLDER: dostawca VPS — nazwa i lokalizacja, np. Polska/UE] — hosting bazy danych i aplikacji.
• Cloudflare Inc. (globalnie, dane podstawowe w UE dla użytkowników z UE) — hosting strony internetowej i sieć CDN.

[TODO PRAWNIK] Zweryfikować aktualny status SCC każdego podprocesora oraz dodać linki do ich umów powierzenia (DPA). Potwierdzić, czy lista jest kompletna względem stanu produkcyjnego.

7. Retencja danych

• Nagrania audio rozmów: kasowane automatycznie po 90 dniach od daty rozmowy.
• Transkrypcje tekstowe rozmów: zachowywane bezterminowo jako część historii sprawy klienta warsztatu (do czasu usunięcia konta warsztatu).
• Dane konta użytkownika: do czasu usunięcia konta + 30 dni na kopię zapasową.
• Logi techniczne: 30 dni.
• Dane z korespondencji e-mail: do czasu zakończenia korespondencji + zwyczajowo 12 miesięcy.

[TODO PRAWNIK] Potwierdzić, czy 90-dniowa retencja nagrań audio jest właściwa, oraz udokumentować jej uzasadnienie (koszt przechowywania vs. potrzeba biznesowa).

8. Prawa osób, których dane przetwarzamy

Każda osoba ma prawo do:

• dostępu do swoich danych (art. 15 RODO),
• sprostowania (art. 16 RODO),
• usunięcia — „prawo do bycia zapomnianym" (art. 17 RODO),
• ograniczenia przetwarzania (art. 18 RODO),
• przenoszenia danych (art. 20 RODO),
• sprzeciwu (art. 21 RODO),
• wycofania zgody (gdy podstawą przetwarzania jest zgoda),
• wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl).

Realizacja praw: kontakt@gearnote.pl

Ważne dla klientów warsztatów: żądania dotyczące Państwa danych prosimy kierować w pierwszej kolejności do warsztatu, który jest administratorem tych danych. Gearnote zrealizuje żądanie zgodnie z instrukcjami warsztatu lub przekaże je warsztatowi.

9. Bezpieczeństwo

• Szyfrowanie połączeń HTTPS (TLS) między aplikacją a serwerem.
• Hasła użytkowników przechowywane w postaci zahaszowanej [PLACEHOLDER: zweryfikować algorytm używany przez Better Auth — np. scrypt].
• Dostęp do produkcyjnej bazy danych ograniczony do administratorów.
• Regularne kopie zapasowe bazy danych, przechowywane w odrębnej lokalizacji geograficznej (Cloudflare R2 lub równoważne).

10. Zmiany polityki

O istotnych zmianach informujemy z 30-dniowym wyprzedzeniem — przez e-mail (użytkowników aplikacji) oraz baner na stronie.

11. Data ostatniej aktualizacji

Data: [PLACEHOLDER: wstawić datę przed publikacją]